Analista AppSec / DevSecOps Sr
Vem Pra Vivo
Descrição da vaga
Sobre a empresa:Somos uma das maiores companhias de telecomunicações do mundo, com presença em 17 países na Europa e América Latina, mais de 1,5 milhão de acionistas diretos e ações negociadas nas principais bolsas internacionais.No Brasil desde 1998, após a privatização da Telesp, evoluímos continuamente nosso portfólio e atuação. Hoje, sob a marca Vivo, somos líderes no mercado nacional de telecomunicações, oferecendo serviços completos de telefonia fixa e móvel, banda larga e TV, além de soluções digitais inovadoras.Atualmente, conectamos milhões de clientes e estamos no centro da transformação digital, impulsionando novas experiências com segurança, confiabilidade e personalização. Nosso propósito é claro: Digitalizar para Aproximar.Sobre a vaga:Buscamos um(a) Analista Sênior de AppSec / DevSecOps para atuar de forma estratégica e prática na evolução da segurança de aplicações, promovendo uma cultura de segurança desde o design até a produção, alinhada às melhores práticas de mercado (OWASP).Este profissional será peça chave na integração de segurança ao ciclo de desenvolvimento, apoiando times de desenvolvimento de software na construção de soluções seguras, escaláveis e resilientes.Principais objetivos do cargo:Evoluir o uso de Inteligência Artificial aplicada à segurançaPromover Security by Design, incluindo threat modeling e revisões de arquiteturaDefinir e evoluir requisitos de segurança nas aplicaçõesGarantir código seguro (Secure Coding), reduzindo vulnerabilidades com base no OWASP Top 10Assegurar a segurança de APIs conforme OWASP API Security Top 10Integrar segurança ao ciclo de desenvolvimento (DevSecOps / shift-left)Gerenciar e priorizar vulnerabilidades com base em riscoGarantir proteção de dados e uso adequado de criptografiaFortalecer a cultura de segurança, capacitando times de desenvolvimentoSobre a área:Vice-Presidência: Estratégia e Assuntos RegulatóriosDiretoria: Diretoria de Segurança DigitalÁrea: Application Security (AppSec)Responsabilidades e atribuiçõesResponsabilidades e atribuições:Atuar como referência técnica em Application Security, com foco em modelagem de ameaças e segurança por designConduzir sessões de Threat Modeling (ex: STRIDE) em novas iniciativas, mudanças arquiteturais e integrações, identificando riscos de forma antecipadaDefinir e evoluir práticas de Secure Design, garantindo aderência a frameworks como OWASP ASVS, SAMM e Top 10Trabalhar próximo a times de desenvolvimento e arquitetura de software para incorporar segurança desde a concepção (shift-left)Liderar iniciativas de segurança relacionadas ao uso de Inteligência Artificial no ciclo de desenvolvimentoIdentificar e mitigar riscos em aplicações que utilizam IA (ex: prompt injection, data leakage, model abuse)Apoiar o uso seguro de ferramentas baseadas em IA (ex: copilots, geração de código)Aplicar boas práticas baseadas em guias emergentes como OWASP Top 10 for LLM ApplicationsExplorar uso de IA para ganho de escala em atividades de AppSec (ex: triagem de vulnerabilidades, automação de análise)Definir requisitos e padrões de segurança para aplicações, APIs e serviçosGarantir que requisitos de segurança estejam claros, priorizados e mensuráveisAtuar na definição de controles para segurança de APIs (autenticação, autorização, rate limiting, etc.)Apoiar na gestão de vulnerabilidades de forma contextualizadaPriorizar riscos considerando impacto técnico e de negócioAtuar junto aos times na definição de estratégias de correçãoContribuir para a evolução do modelo de maturidade de segurança (AppSec)Estruturar e evoluir práticas alinhadas ao OWASP SAMMCriar e manter guidelines, padrões e playbooksPromover cultura de segurançaFortalecer a cultura de segurança na organizaçãoAtuar como referência técnica em Application Security para times de desenvolvimentoLiderar iniciativas de capacitação (workshops, treinamentos e disseminação de boas práticas)Experiências e conhecimentos esperados:Experiência sólida em Application Security (AppSec) / DevSecOpsVivência prática com Threat Modeling e metodologias como STRIDE (ou similares)Experiência em secure design / arquitetura seguraConhecimento aplicado dos principais frameworks OWASP:OWASP Top 10OWASP API Security Top 10OWASP ASVSOWASP SAMMExperiência ou forte interesse em segurança aplicada a IAConhecimento dos principais riscos envolvendo LLMs e IA generativaFamiliaridade com o OWASP Top 10 for LLM ApplicationsExperiência com uso de ferramentas de IA no contexto de desenvolvimento (ex: code assistants)Experiência trabalhando com times de desenvolvimento (linguagens como Java, Node.js, etc.)Conhecimento em arquitetura de sistemas distribuídos e APIs RESTFamiliaridade com ambientes cloud (Azure, AWS ou GCP)Experiência com ferramentas e práticas de segurança:Application Security (por exemplo: SAST, SCA, IaC)CI/CD e automação de segurançaGestão de vulnerabilidadesDiferenciais:Experiência prática com aplicações que utilizam IA/ML em produçãoConhecimento em segurança de modelos (MLSecOps)Experiência com abuse cases e adversarial thinkingVivência em ambientes corporativos complexos (escala enterprise)Certificações em segurançaRequisitos e qualificaçõesRequisitos e qualificações:Ferramentas e tecnologias:Experiência com ferramentas de segurança de aplicações:SAST (ex: Fortify, Checkmarx, Veracode, etc)SCA (ex: Snyk, OWASP Dependency-Check)DAST (ex: WebInspect)Plataformas de ASPMExperiência com integração de segurança em pipelines CI/CD (Azure DevOps, GitHub Actions ou similares)Conhecimento em ferramentas de gestão de vulnerabilidades e tracking (ex: SSC Fortify, Jira)Experiência com proteção de APIs:API Gateway, WAF, Rate LimitingFamiliaridade com ferramentas e plataformas de IA aplicadas ao desenvolvimento (ex: copilots, code assistants, AI agent)Habilidades técnicas:Sólido conhecimento em Application Security (AppSec) e DevSecOpsExperiência prática com:Threat Modeling (ex: STRIDE, abuse cases)Secure Design / Arquitetura seguraConhecimento profundo dos principais frameworks OWASP:OWASP Top 10OWASP API Security Top 10OWASP ASVSOWASP SAMMConhecimento em segurança de APIs:OAuth2, OpenID Connect, JWTAutenticação, autorização e controle de acessoConhecimentos em desenvolvimento:Linguagens como JavaScript/Node.js, Java ou similaresConceitos de boas práticas de codificação seguraConhecimento em ambientes Cloud (Azure, AWS ou GCP) e arquitetura distribuídaSegurança em IA (diferencial relevante):Interesse em aplicar IA para ganho de escala em AppSec (automação, análise, etc.)Conhecimento ou experiência em riscos de aplicações com IA:Prompt InjectionData LeakageModel Abuse / MisuseFamiliaridade com o OWASP Top 10 for LLM ApplicationsCapacidade de avaliar riscos e propor controles em soluções que utilizam IAFormação e certificações:Ensino superior completo em áreas de Tecnologia da Informação ou correlatasCertificações desejáveisCSSLP (Certified Secure Software Lifecycle Professional)GWAPT / OSCP / OSWEAZ-500, AWS Security Specialty ou similares (cloud security)Certificações relacionadas a DevSecOps ou AppSecSoft Skills:Capacidade de influenciar times técnicos sem criar fricçãoComunicação clara com desenvolvedores e áreas de arquiteturaPensamento crítico e visão orientada a riscoPerfil proativo, colaborativo e orientado à soluçãoMentalidade de automação, escala e melhoria contínuaInformações adicionaisVeja o que ofereceremos para você: Na Vivo não medimos esforços em apoiar e valorizar nossos colaboradores. Não são apenas excelentes benefícios, mas também flexíveis. • Escolher o benefício ideal para você e seus dependentes, numa plataforma digital com diversas categorias de Academia, VR, VA, Auxílio Farmácia, Assistência Médica, Odontológica e Seguro de Vida; • Celular corporativo. Sim, um smartphone novinho para você! • Plano de voz e Dados ilimitado! Sim ilimitado! Com a melhor rede móvel, ainda mais rápida com o 5G da Vivo! • Uma oferta exclusiva da Vivo, com desconto especial em linha fixa, banda larga, TV e apps; • Terá direito a receber Bônus ou PPR anual; • Planejará seu futuro através do plano de Previdência Privada; • Tem filhos? Terá direito a um subsídio para ajudar nas despesas com escola, creche ou babá; • Viver em um ambiente que respeitará sua personalidade, seu estilo de se vestir, seu jeito de ser e poderá ser autêntico. #VemdeVocê • Trabalhar remotamente até 2 vezes por semana. #Mobility • Ter flexibilidade de horário; • Aproveitar um dia de folga (Day off) para comemorar seu aniversário; • Participar de um dos maiores programas de voluntariado corporativo para você transformar o mundo; • Usufruir do nosso Programa de Desenvolvimento Educacional que oferece parcerias em instituições de ensino com desconto; certificações e cursos online. • Potencializar sua carreira por meio do nosso Programa de Recrutamento Interno, no Brasil ou fora, afinal estamos presentes em mais de 17 países! #VivoMinhaCarreira • Contar com uma série de iniciativas para melhorar a sua saúde física, emocional e social! Por aqui, temos o #VivoBemEstar, que estimula o nosso time a ter hábitos saudáveis e mais qualidade de vida! Disponibilizados aos nossos colaboradores consultas com nutricionista, psicólogos, serviço social, telemedicina, e muito mais! • Todas as nossas vagas são elegíveis a pessoas com deficiência e/ou reabilitados. Temos uma cultura que valoriza a diversidade, as diferenças e o potencial das pessoas! #VivoDiversidade #VemPraVivo Importante: A única forma de participar de processos seletivos da Vivo é por meio das páginas da empresa na plataforma Gupy https://vivo.gupy.io e não há pagamento de taxa de participação ou contratação.
